Jamf Threat Labs identificó un nuevo infostealer para macOS basado en Rust llamado PamStealer que se hace pasar por el gestor de portapapeles de código abierto Maccy. En un informe publicado el jueves, la firma de ciberseguridad dijo que la campaña utiliza un sitio web falso para distribuir un archivo AppleScript malicioso que puede robar contraseñas y claves de billeteras de criptomonedas de usuarios de Mac. El malware valida las contraseñas de inicio de sesión de las víctimas a través de los Módulos de Autenticación Enchufables (PAM) de macOS antes de recolectarlas, según Jamf Threat Labs. El descubrimiento refleja una tendencia más amplia de atacantes que disfrazan malware como software legítimo y abusan de plataformas de confianza para desarrolladores y canales publicitarios.
Según Jamf Threat Labs, la campaña utiliza un sitio web similar para distribuir una imagen de disco que contiene un archivo AppleScript malicioso llamado Maccy.scpt. Al abrirlo, el archivo muestra instrucciones indicando a los usuarios que lo ejecuten en el Editor de Scripts de Apple mientras oculta el código malicioso más abajo en el documento.
«Estamos rastreando este malware bajo el nombre PamStealer por uno de sus comportamientos principales: validar la contraseña de inicio de sesión de la víctima a través de los Módulos de Autenticación Enchufables (PAM) de macOS antes de recolectarla», escribió Jamf Threat Labs en el informe.
El director de Jamf Threat Labs, Jaron Bradley, dijo a Decrypt que los atacantes han estado comprando espacio publicitario en Google para atraer a los usuarios a aplicaciones maliciosas. «Recientemente hemos observado anuncios maliciosos alojados también en X», dijo Bradley. «Estas técnicas de ingeniería social han demostrado ser muy exitosas».
El malware utiliza JavaScript para Automatización y APIs nativas de macOS para descargar una carga útil de segunda etapa sin depender de utilidades comunes de shell como curl o zsh, reduciendo la cantidad de procesos que las herramientas de seguridad pueden observar.
Según el informe, la segunda etapa es un binario basado en Rust diseñado para Macs con Apple Silicon que se disfraza como Finder o Actualización de Software. «En lugar de almacenar su configuración en texto claro, el dropper deriva una clave a partir de una huella digital del host —incluyendo su arquitectura de CPU, configuración regional, distribución del teclado y zona horaria— y la utiliza para desbloquear una configuración cifrada y verificada en integridad que contiene la URL de la carga útil y la ruta de instalación», dijo la compañía.
Si el malware no puede verificar que se está ejecutando en su objetivo previsto, se apaga silenciosamente.
Una vez instalado, el malware puede robar credenciales del navegador y datos del Llavero, monitorear el contenido del portapapeles, establecer persistencia y enviar información robada a un servidor remoto de comando y control utilizando comunicaciones cifradas.
El malware intenta ampliar su acceso mostrando una alerta falsa de Finder que pide a los usuarios que concedan Acceso Total al Disco. El mensaje puede aparecer hasta 40 minutos después de la infección, lo que reduce la probabilidad de que los usuarios lo asocien con la descarga original. Si se aprueba, el malware puede acceder a datos protegidos, incluyendo Mail, Mensajes y copias de seguridad de Time Machine.
Según Bradley, Jamf no ha observado ninguna evidencia de que PamStealer esté activo en la naturaleza. La compañía notificó a Apple de sus hallazgos. Apple no respondió de inmediato a una solicitud de comentarios de Decrypt.
Jamf dijo que está viendo técnicas de ingeniería social similares extenderse a otras plataformas. En una publicación en X la semana pasada, la compañía dijo que estaba investigando un anuncio patrocinado en X que promocionaba DynamicLake y redirigía a los usuarios a dynamicmacisland[.]com, donde se les indicaba que abrieran Terminal y ejecutaran un comando de instalación.
«El anuncio fue entregado a través de una cuenta verificada de X, añadiendo otra capa de confianza a la ingeniería social», escribió la firma. «El análisis de la carga útil reveló una variante reciente de Atomic (MacSync) Stealer».
Los hallazgos se producen mientras los atacantes disfrazan cada vez más el malware como software legítimo y abusan de plataformas de confianza para desarrolladores y canales publicitarios. Las campañas recientes han incluido un repositorio falso de OpenAI que alcanzó el primer lugar de los proyectos populares de Hugging Face antes de distribuir un infostealer basado en Rust, una extensión maliciosa de Visual Studio Code que GitHub dijo que expuso aproximadamente 3.800 repositorios internos, y la campaña de software supply-chain Shai-Hulud dirigida a herramientas de desarrollo utilizadas por empresas de IA, incluyendo OpenAI y Mistral AI.
¿Qué es el malware PamStealer y cómo ataca a los usuarios de Mac?
PamStealer es un infostealer para macOS basado en Rust identificado por Jamf Threat Labs que se hace pasar por el gestor de portapapeles de código abierto Maccy. El malware se distribuye a través de un sitio web falso que entrega un archivo AppleScript malicioso. Valida las contraseñas de inicio de sesión de las víctimas a través de los Módulos de Autenticación Enchufables (PAM) de macOS antes de robar credenciales del navegador, datos del Llavero y monitorear el contenido del portapapeles.
¿Cómo evita PamStealer la detección por parte de las herramientas de seguridad?
Según Jamf Threat Labs, PamStealer utiliza JavaScript para Automatización y APIs nativas de macOS para descargar una carga útil de segunda etapa sin depender de utilidades comunes de shell como curl o zsh, reduciendo la cantidad de procesos que las herramientas de seguridad pueden observar. El malware también deriva una clave de la huella digital del host para desbloquear una configuración cifrada, y se apaga si no puede verificar que se está ejecutando en su objetivo previsto.
¿Ha observado Jamf que PamStealer se utilice en ataques activos?
Según el director de Jamf Threat Labs, Jaron Bradley, Jamf no ha observado ninguna evidencia de que PamStealer esté activo en la naturaleza. La compañía notificó a Apple de sus hallazgos, pero Apple no respondió de inmediato a una solicitud de comentarios de Decrypt.
Noticias relacionadas
Zcash apunta al 21 de julio de 2026 para la red principal Ironwood tras fallo en el pool Orchard
D3Lab detecta una ola de malware Tap-to-Pay dirigida a usuarios de Android en Europa
Peter Schiff critica las memecoins de Trump como herramienta de soborno
Pérdida de 820 mil dólares por vulnerabilidad en Hinkal DeFi, 410 ETH implicados en lavado de dinero.